Azt hiszem maga a design a hibás: VPC-n belüli subnetek összekötése miatt teljesen felesleges két lábú EC2 instrance-eket csinálni, a VPC routerén keresztül mindenki lát mindenkit úgyis, az izolációt pedig security groupokkal/network ACL-ekkel kell megoldani. Így a kérdéses EC2 gépen is csak 1db interface lenne (a public), szóval a kérdésnek ez esetben nincs relevanciája. Jól értem, hogy ez lenne a best practice erre a felállásra?